Le guide Sentinel : comment ça marche, étape par étape

Qu’est-ce que Dunes Sentinel ?

Une plateforme de sécurité de niveau forensique pour WordPress : 10 moteurs de détection, défense en temps réel, modules forensiques et de conformité, le tout en parallèle. Aucune donnée ne quitte votre serveur : toute la détection est on-device.

Comment l’installer et l’activer ?

Extensions → Ajouter → Téléverser, choisissez le ZIP, installez et activez. Dunes Sentinel apparaît dans le menu latéral. Nécessite WordPress 6.0+ et PHP 7.4+ (8.1+ recommandé).

Par où commencer ?

À l’activation, l’assistant vous guide en 5 minutes : activer la licence, créer la baseline propre, lancer la première analyse et activer les modules de défense recommandés.

Comment activer ma licence ?

Onglet Licence → collez votre clé (reçue par email à l’achat et dans votre espace client). Pour essayer gratuitement, utilisez les clés de développement : dev-pro, dev-agency, dev-enterprise.

Comment analyser mon site ?

Allez dans Dunes Sentinel → Analyse et cliquez sur Lancer l’analyse. Sentinel parcourt vos fichiers PHP/JS, la base de données et la configuration, en passant chaque élément par les 10 moteurs à la fois. À la fin, vous obtenez les détections triées par gravité, et vous suivez la progression en direct.

Que vérifie exactement l’analyse ?

Chaque fichier passe par : signatures de webshells (Patterns), analyse de jetons (AST), entropie, comparaison avec la baseline, empreinte floue (Fuzzy Hash), suivi des données de l’attaquant (Taint), règles YARA-Lite, malware JavaScript (JS-AST), audit qualité/sécurité (SAST) et CVE de vos extensions et thèmes (Supply Chain).

Puis-je programmer des analyses automatiques ?

Oui. Sentinel programme une analyse périodique via WP-Cron (quotidienne par défaut) et un auto-pentest à 03h00. Vous pouvez ajuster la fréquence dans les réglages.

L’analyse ralentit-elle mon site ?

Non. Elle tourne par lots en arrière-plan avec des limites de temps et de mémoire ; si l’hébergeur coupe le processus, il reprend là où il s’était arrêté. Les visiteurs ne s’en aperçoivent pas.

Qu’est-ce qu’une détection et comment la lire ?

Chaque détection est un « finding » avec fichier et ligne, le moteur qui l’a trouvé, la règle, la technique MITRE ATT&CK, la gravité et un extrait de code. Cliquez pour le détail complet.

Que signifient les niveaux de gravité ?

Critique : presque certainement malveillant ou exploitable — agissez tout de suite. Élevée : très suspect, à examiner vite. Moyenne : mérite un coup d’œil. Faible / Info : avis mineur ou de qualité de code.

Comment savoir si un virus est vraiment dangereux ?

Ouvrez la détection et utilisez l’Analyste de menaces IA : il explique en langage clair ce que c’est, pourquoi ça s’est déclenché et un plan de nettoyage. Signes de vrai positif : entropie élevée avec obfuscation (eval/base64), fichier récemment modifié (voir la Timeline), chemin étrange (un .php dans uploads), correspondance de famille par Fuzzy Hash ou une technique MITRE. Si c’est du code légitime d’une extension connue, marquez-le comme faux positif et il n’alertera plus.

Que faire d’une détection ?

Trois actions : confirmer (c’est réel), ignorer (faux positif) ou l’envoyer en quarantaine. Chaque action est consignée dans le journal d’audit inviolable.

Qu’est-ce que la quarantaine et qu’en faire ?

Elle isole un fichier suspect sans le supprimer : Sentinel le déplace dans un coffre chiffré hors de portée publique (wp-content/uploads/dunes-sentinel-quarantine/) pour qu’il ne puisse pas s’exécuter, et votre site continue de fonctionner. De là, vous décidez : le restaurer ou le détruire.

Restaurer ou détruire ?

Restaurer remet le fichier à son emplacement d’origine — uniquement si vous confirmez qu’il était légitime. Détruire le supprime définitivement et en toute sécurité. Dans le doute, laissez-le en quarantaine : le site est déjà à l’abri car le fichier ne s’exécute pas.

Est-ce que je perds quelque chose en mettant un fichier en quarantaine ?

Non. Le fichier est conservé intact mais cesse de s’exécuter ; vous pouvez donc toujours le restaurer si c’était un faux positif. C’est l’option sûre par défaut.

Qu’est-ce que le Playbook IR et à quoi sert-il ?

C’est un moteur de règles « si X arrive, fais Y » qui automatise la réponse aux incidents. Quand un événement se produit (connexions échouées en boucle, un blocage DB Shield, quelqu’un touche l’admin leurre…), Sentinel évalue tous les playbooks actifs et exécute leurs actions : bannir l’IP, fermer les sessions, monter le niveau de défense, vous alerter par webhook, etc. Plusieurs sont prêts à l’emploi (p. ex. « Lockout brute force ») et vous pouvez créer les vôtres.

Que faire si je me suis fait pirater ?

Suivez le plan de réponse :

1. Isolez : mettez en quarantaine les fichiers touchés et montez la défense (WAF/RASP).
2. Enquêtez : utilisez la Timeline (ce qui a changé et quand) et le Threat Hunting pour mesurer l’ampleur.
3. Comprenez : l’Analyste IA vous explique chaque menace et le plan.
4. Nettoyez : mettez en quarantaine ou détruisez le code malveillant et utilisez Auto-Clean pour restaurer le cœur de WordPress.
5. Récupérez : si besoin, Time Travel pour revenir à un snapshot propre.
6. Durcissez : changez les mots de passe, faites tourner les secrets (Vault) et vérifiez les comptes administrateurs.

Qu’est-ce que l’Analyste de menaces IA ?

Un analyste de menaces par IA : il explique la détection en langage clair et propose un plan de nettoyage étape par étape. Si Dunes AI est actif, il utilise son LLM ; sinon, il bascule vers une analyse locale par modèles. Confidentialité : il n’envoie que des métadonnées (famille, règle, MITRE, chemin relatif), jamais le contenu du fichier ni les données de votre site.

Qu’est-ce que le Threat Hunting (DQL) ?

Une console de recherche façon Splunk avec un langage propre (DQL) sur tous les événements du plugin : détections, audit, blocages et playbooks, depuis une seule boîte. Exemples : severity:high AND engine:ast, ip:192.168.* OR country:CN, rule_id:CVE-* AND ts:>24h.

Patterns — signatures de webshells

Plus de 80 signatures regex de webshells et backdoors, chacune mappée à une technique MITRE ATT&CK. La première ligne : reconnaît instantanément les malwares connus.

AST — analyse de jetons

Tokenise le PHP et analyse sa structure pour traquer les sinks indirects, les variables-variables, les backticks et les combinaisons typiques de RATs qu’une simple regex ne voit pas.

Entropy — code obfusqué

Mesure l’entropie de Shannon et Chi² sur des fenêtres glissantes de 1 Ko. Le code chiffré, compressé ou packé a une aléatoirité anormale qui le trahit.

Baseline — détection des changements

Enregistre un instantané SHA-256 de votre site propre et compare chaque fichier. Toute modification, même minime, est signalée.

Genome — l’« ADN » du fichier

Combine entropie, hachages et similarité floue pour calculer l’« ADN » de chaque fichier et reconnaître des familles de malware que les signatures classiques ratent.

Fuzzy Hash — variantes mutées

Une empreinte floue de type TLSH de 32 octets qui reconnaît le même malware même si des lignes ont été modifiées pour échapper aux signatures exactes.

Taint — flux de données dangereux

Suit le parcours des données de l’attaquant ($_GET/$_POST) jusqu’aux points dangereux (RCE, SQLi, LFI, XSS), en tenant compte des sanitizers en chemin.

JS AST — malware JavaScript

Analyse le JavaScript à la recherche de skimmers Magecart, de mineurs (Coinhive), d’iframes cachées et de motifs atob+eval typiques de la fraude dans le navigateur.

YARA-Lite — règles personnalisables

Un moteur de règles façon YARA en JSON léger, avec prise en charge de l’enveloppe base64, pour ajouter vos propres détections.

Code Quality (SAST) — audit approfondi

Analyse statique approfondie au-delà du malware : trouve des vulnérabilités, des problèmes de qualité, de performance et de compatibilité dans votre code.

AI Anomaly — comportement anormal

Applique un Z-score robuste (MAD) sur les métriques opérationnelles du site pour repérer ce qui sort de l’ordinaire. Tout en on-device, aucune donnée ne sort.

Shield (WAF) — pare-feu applicatif

Filtre et bloque les tentatives d’injection dans les commentaires, REST, login et requêtes POST avant qu’elles n’atteignent votre code.

DB Shield — pare-feu de base de données

Inspecte les requêtes SQL et bloque UNION, tautologies, time-based, stacked et out-of-band avant qu’elles n’atteignent la base de données.

Upload Fortress — blindage des téléversements

Vérifie les vrais magic bytes, assainit les SVG, détecte les polyglottes et les noms de fichier en unicode trompeur pour que personne ne glisse un .php déguisé.

RASP — autoprotection à l’exécution

Six garde-fous qui surveillent à l’exécution : bloque le PHP exécuté depuis uploads, la manipulation d’active_plugins, l’escalade de capacités et plus encore.

Zero-Trust — sessions zéro confiance

Lie chaque session à une empreinte d’appareil et surveille la géo-vélocité (sauts impossibles entre pays). Si quelque chose cloche, l’accès est coupé.

Bot Defense — défense anti-bots

Un arbre de décision plus une vérification reverse-DNS distinguent le vrai Googlebot des bots qui l’imitent.

2FA — double facteur

Deuxième facteur TOTP (RFC 6238) en PHP pur, avec codes de secours. Compatible avec Google Authenticator, Authy, etc.

Decoy Admin — login leurre

Transforme /wp-admin/ en piège (honeypot) et déplace le vrai panneau vers une URL secrète. Quiconque attaque la porte habituelle tombe dans le leurre.

Vault — coffre à secrets

Chiffre vos secrets (clés d’API, tokens) avec AES-256-GCM et une clé maître dérivée via HKDF-SHA256.

AntiSpam — spam sans CAPTCHA

Combine honeypot, token HMAC, stylométrie par cosinus et limite de fréquence pour stopper le spam sans embêter vos utilisateurs avec des CAPTCHA.

CSP — Content Security Policy

Applique des en-têtes Content Security Policy pour réduire le risque de XSS et de scripts tiers non autorisés.

Gateway — passerelle de requêtes

La couche d’entrée qui coordonne les blocages : applique les bannissements d’IP, les limites et les décisions des playbooks IR à chaque requête.

Timeline — chronologie des changements

Enregistre le mtime de vos fichiers PHP/JS et alerte sur les mutations récentes. La première chose à regarder lors d’un incident : ce qui a changé et quand.

Time Travel — machine à remonter le temps

Prend des instantanés des fichiers et de la base toutes les 4 heures et permet de revenir en arrière jusqu’à 30 jours. Votre bouton « annuler » en cas de désastre.

Auto-Clean — nettoyage automatique

Télécharge une copie propre de WordPress depuis WordPress.org et remplace les fichiers du cœur modifiés, les remettant à l’état d’usine.

Backup — sauvegardes

Sauvegardes de vos fichiers et de votre base de données stockées sur le serveur, prêtes à restaurer en cas de problème.

SBOM — inventaire logiciel

Génère le Software Bill of Materials (liste de tous vos composants et versions) au format standard CycloneDX 1.5, exigé dans de nombreux audits.

Supply Chain — CVE de vos extensions

Croise vos extensions et thèmes avec les bases de vulnérabilités NVD et Patchstack pour vous avertir des CVE connus avant qu’ils ne soient exploités.

Threat Intel — renseignement sur les menaces

Un flux fédéré d’indicateurs de compromission (hachages, domaines, URL malveillantes) téléchargé pour le croiser avec votre site. Vos données ne sont jamais envoyées sans consentement.

GeoIP — géolocalisation

Résout le pays de chaque IP pour les blocages, la géo-vélocité du Zero-Trust et les règles des playbooks (p. ex. alerter si un admin se connecte depuis un autre pays).

Security Score — une note de 0 à 100

Une note qui résume votre posture de sécurité à partir des données que Sentinel possède déjà : détections ouvertes, blocages des dernières 24 h, exécutions de playbooks, temps depuis la dernière analyse et conformité. Garde un historique quotidien de 90 jours.

SIEM — exportez vos événements

Envoie les événements de sécurité à votre SIEM dans son format natif, sans bibliothèques externes : Splunk HEC, Datadog, Elastic (ECS), Microsoft Sentinel, Sumo Logic ou JSON/NDJSON générique.

Compliance — rapports de conformité

Génère des rapports avec les preuves préremplies pour le RGPD, PCI-DSS, ISO 27001:2022 et NIS2. Utiles pour les audits et pour vendre la confiance à vos clients.

Webhooks — alertes là où vous travaillez

Vous prévient sur Slack, Discord, Teams ou Telegram quand quelque chose se passe, avec des filtres par gravité pour éviter le bruit.

Que comprend chaque niveau ?

Free : moteurs de base (Patterns, AST, Entropy, Baseline), AntiSpam, 2FA et Timeline. Pro : ajoute Fuzzy Hash, Taint, JS-AST, YARA-Lite, SAST, Supply Chain, WAF, Upload Fortress, Decoy Admin, Vault, SBOM et webhooks. Agency : ajoute AI Anomaly, Zero-Trust, Bot Defense, Self-Pentest, Threat Intel et Auto-Clean. Enterprise : tout, avec DB Shield, RASP, Time Travel, Auto-Clean et les rapports de conformité.

La licence est-elle par site ?

Oui, chaque licence est prévue pour un site. Si vous en gérez plusieurs, une clé de type Agency couvre plusieurs installations ; ou achetez des licences supplémentaires depuis votre espace.

Faut-il une connexion pour valider la licence ?

Non. La validation est hors ligne (HMAC) : la clé porte la signature intégrée, donc Sentinel n’a jamais besoin de « rappeler la maison » pour fonctionner.

Y a-t-il une API REST ?

Oui, sous /wp-json/dunes-sentinel/v1/ (nécessite manage_options + nonce). Endpoints pour les analyses, détections, quarantaine, audit, SBOM, timeline, supply-chain, threat-intel et licence. Exporte aussi SARIF 2.1 pour l’intégrer à votre CI.

Puis-je l’intégrer à mon propre code ?

Oui. Il expose des filtres et actions : dunes_sentinel/scan_files, dunes_sentinel/finding_created, dunes_sentinel/scan_completed, dunes_sentinel/critical_event, ainsi que des constantes wp-config comme DUNES_SENTINEL_ENABLED.

Le site plante après l’activation, que faire ?

Par FTP, renommez le dossier wp-content/plugins/dunes-sentinel/ en dunes-sentinel.disabled/ : WordPress démarrera sans le plugin. Réinstallez ensuite une version plus récente ou consultez le log.

Où sont les logs ?

Le log de débogage de WP dans wp-content/debug.log (si WP_DEBUG_LOG est activé), et le journal d’audit inviolable de Sentinel dans l’onglet Audit, avec une chaîne vérifiable.

Où sont stockés les sauvegardes et instantanés ?

Les instantanés Time Travel dans wp-content/uploads/dunes-sentinel-snapshots/ et la quarantaine dans wp-content/uploads/dunes-sentinel-quarantine/.

Comment le désinstaller complètement ?

Extensions → Désactiver → Supprimer. Le uninstall.php efface les tables, options, événements cron et répertoires. Un nettoyage complet, sans traces.